2023蓝帽杯初赛取证

MISC

ez_Forensics

filescan桌面有若干文件，readme.txt提示明文攻击，但是此时的readme.txt和压缩包中的文件的crc校验值不同

editbox还原出readme的内容，crc校验通过

进行明文攻击，7z压缩，得到3段解密密钥

解压得到table，实际是png，对比鼠标宏绘制(Mouse and Keyboard Recorder)的内容，按顺序得到得到a91e37bf

consoles获得secretU2FsdGVkX19dHyROKCNrT5BAJk9asDpaZ8L45vr9s9D2Yi9/OX5Xl6lEmhd0VoietsmeiLHJjPPG0uSsdxGgr2jzQ00FEMf/VglaSrhwumM=

aes解密

part1暴力搜索

结果为flag{194a019a-1767-913a-f140-2626195942a0}

APK取证

1.涉案apk的包名是？[答题格式:com.baid.ccs]

结果为com.vestas.app

2.涉案apk的签名序列号是？[答题格式:0x93829bd]

结果为0x563b45ca

3.涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

除了jadx，其他软件解析出来的值都是129477170410，jadx解析的是2147483647

当然从源码来看，拿的确实是这个标签的值

不过从打包的h5数据来看，实际上就应该是129477170410，我保留我的观点。

结果为129477170410

4.涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

结果为https://vip.licai.com

5.涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

结果为io.dcloud.PandoraEntry

手机取证

6.该镜像是用的什么模拟器？[答题格式:天天模拟器]

目录结构和日志

结果为雷电模拟器

7.该镜像中用的聊天软件名称是什么？[答题格式:微信]

恢复模拟器备份

结果为与你

8.聊天软件的包名是？[答题格式:com.baidu.ces]

导出查看

结果为com.uneed.yuni

9.投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

聊天记录

结果为5万

10.受害人是经过谁介绍认识王哥？[答题格式:董慧]

原以为有坑，要从数据库找具体人名，结果好家伙。。

结果为华哥

计算机取证

11.请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

问的镜像哈希，为什么答案是源盘哈希呢？希望友商技术支持长点心

结果为ea9dcc3d43df4c6448bb56e7ac820619d66fe821

12.给出pc.e01在提取时候的检查员？[答案格式：admin]

xways

结果为pgs

13.请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

既然仿真进ie看的首页不对，那就是注册表咯

结果为http://go.microsoft.com

14.请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

仿真进系统，不清除密码，passware跑内存得到密码为3w.qax.com

chrome自动填充

结果为yang88/3w.qax.com

15.请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

新建1个pdf，打开是wps

结果为2023春季更新(14309)

16.请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

D盘有一个disk.img，文件在里面

结果为24cfcfdf1fa894244f904067838e7e01e28ff450

17.请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

容器文件也在disk.img里面

pgs计算机取证，分析内存，可以导出vc的内存密钥

在软件里以镜像方式导入容器文件，应用分析选择加密容器文件分析，使其能够识别到vc容器，然后导入内存密钥解密成功

结果为3w.qax.com!!@@

18.请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

结果为3261

19.请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

结合配置文件

结果为user/panguite.com

20.分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

解密容器，过滤，计算

结果为1019

内存取证

21.请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

注意时区，默认是utc0

结果为2023-06-21 01:02:27

22.请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

见14

23.提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

结果为2023-06-21 01:01:25

24.请给出用户yang88的LMHASH值？[答案格式：字母小写]

hashdump

结果为aad3b435b51404eeaad3b435b51404ee

25.请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

自动生成的recent快捷方式，不懂考这个和内存有什么关联，没必要从内存取

结果为2023-06-21 00:29:16

26.请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]

pslsit

结果为2023-06-21 00:47:41

27.分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

chrome插件

结果为2

28.请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

pslist

结果为2456

服务器取证

29.分析涉案服务器，请给出涉案服务器的内核版本？[答案格式：xx.xxx-xxx.xx.xx]

结果为3.10.0-957.el7.x86_64

30.分析涉案服务器，请给出MySQL数据库的root账号密码？[答案格式：Admin123]

网站根目录.env，是mysql的密码，踩坑了，不是宝塔里的mysql，而是单独的一个服务器

结果为ff1d923939ca2dcf

31.分析涉案服务器，请给出涉案网站RDS数据库地址？[答题格式: xx-xx.xx.xx.xx.xx]

同上

结果为pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

32.请给出涉网网站数据库版本号? [答题格式: 5.6.00]

恢复数据库

结果为5.7.40

33.请给出嫌疑人累计推广人数？[答案格式：100]

修改.env配置

查看日志找到后台登录地址/AdminV9YY/Login

任意密码登录，提示密码不正确

找到登录逻辑代码文件

修改判断逻辑

登录成功

结果为69

34.请给出涉案网站后台启用的超级管理员?[答题格式:abc]

结果为admin

35.投资项目“贵州六盘水市风力发电基建工程”的日化收益为？[答题格式:1.00%]

结果为4.00%

36.最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

老喜欢看日志文件，踩坑了，日志文件记录不完整，看数据库日志

结果为183.160.76.194

37.分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

vip2的字段值为3

结果为20

38.分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

结果为2

39.分析涉案网站数据库或者后台，统计嫌疑人的下线成功提现多少钱？[答题格式:10000.00]

从这里开始，就是恶心的出题人了，自己拎不清，在这乱出题。从这题开始涉及到了下线相关内容，本题提交的答案为网站后台数据，判对。

我们打开general_log来看一下这个数据用了什么查询吧，后面那么多id哪来的？算一下其实一共有69个

在数据库中跟进后，其实可以发现，有部分的id的邀请人并不是yang88，而是yang88的直接下线，这些人算下线的下线，甚至可能还有更多层

也就是说，这里出题人认为的下线指的是所有的下线，毕竟这个答案是对的嘛！

登录前台，也可以看到他的下线信息，清楚说明了存在多级下线

结果为128457.00

40.分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人？[答题格式:123]

按照上题的情况，我们只需要查看受害人的上线的推广人数即可

很不巧，推广人还是我们yang88，因此这里的结果应该是69，然而这个答案却判错了，非常好，出题人做的非常好！在种花，你臣子的臣子也是你的臣子，又不是在西方，你下线的下线就不是你的下线了？？！

结果为69

当然如果你想要直接下线，那么count一下有17个

41.分析涉案网站数据库或者后台网站内下线大于2的代理有多少个？[答题格式:10]

由于网站整体数据量不大，修改接口返回的size，直接在前端获取所有会员的信息（/www/wwwroot/v9.licai.com/config/web.php），可以省去大量的数据库分析和sql调试

返回结果中tuiguangrens的值是下线人数

import json

with open('list.json','r',encoding='utf-8') as fr:
    data = fr.read()
    content = json.loads(data)
lst = content["list"]  
mem_data = lst["data"]
mx = 0
mx_user = ""
i = 0
for v in mem_data:
    if v["tuiguangrens"] > 2:
        if v["tuiguangrens"] > mx:
            mx = v["tuiguangrens"]
            mx_user = v["realname"]
        i+=1
print("下线大于2的代理人数为："+str(i))
print("下线最多的代理为"+mx_user+",发展了"+str(mx)+"个下线")

结果为73

当然如果你要求的是直接下线，那么数据库一查就出来了select count(id),inviter from member GROUP BY inviter HAVING COUNT(id) > 2，得到60个代理

42.分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

结果为杨德忠

当然如果你要求的是直接下线，那么数据库一查就出来了

select count(id),inviter from member GROUP BY inviter HAVING count(id) > 2 order by count(id) desc limit 1;
select realname from member where invicode = "617624";

得到下线最多的是骆潇原

43.分析涉案网站数据库或者后台流水明细，本网站总共盈利多少钱[答题格式:10,000.00]

出题人认为直接根据+-来判断收入与支出，这种方式统计出的结果为15,078,796.38

然而观察流水类型，显然签到、积分奖励、分红等类型，用户并没有往平台充值任何资金，这些资金是平台的奖励，只在平台内部流动，在用户提现前就是空话，我们关注的应该是充值和提款，其他的都是分红、项目、余额宝相关的数据，实际上钱还没有在平台和用户之间发生流动。

充值-提款，得到盈利

结果为10,431,334.50